¿Qué es la campaña FortiBleed?
FortiBleed es el nombre que han adoptado investigadores de seguridad para describir una oleada de intrusiones que afecta a miles de firewalls y gateways VPN de Fortinet instalados en corporaciones de gran escala alrededor del planeta. A diferencia de ataques anteriores que explotaban vulnerabilidades de software, esta operación se basa en la reutilización de credenciales ya divulgadas o predeterminadas.
Modo de operación de los atacantes
Los delincuentes comienzan con una fase de reconocimiento automatizado, empleando bots que rastrean internet en busca de dispositivos Fortinet accesibles desde la red pública. Cuando encuentran un firewall o un punto de acceso VPN sin protección adecuada, intentan acceder mediante listas de contraseñas filtradas, muchas de las cuales provienen de filtraciones anteriores o de configuraciones por defecto nunca modificadas.
Una vez dentro, el intruso convierte el equipo comprometido en un punto de observación silencioso, interceptando el tráfico que atraviesa la infraestructura y capturando credenciales frescas que circulan por la red. Estos datos recién obtenidos se vuelven a alimentar al escáner, creando un círculo vicioso que permite la toma de control de dispositivos adicionales sin intervención humana.
Alcance y magnitud del incidente
Según los informes de Hudson Rock y SOCRadar, la cifra de URLs de Fortinet vulnerables supera los 73 000, lo que se traduce en más de 30 000 aparatos realmente comprometidos. Entre las organizaciones citadas aparecen nombres de renombre como Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens y PwC.
Geográficamente, los países con mayor número de dispositivos afectados son India, Estados Unidos, Taiwán y México, aunque el fenómeno está presente en numerosos continentes y sectores, desde servicios de TI y telecomunicaciones hasta agencias gubernamentales.
Respuesta de Fortinet y de las víctimas
Fortinet ha declarado estar al tanto de una campaña de recolección de credenciales dirigida a sus firewalls y ha subrayado que, tras su análisis interno, los datos obtenidos provienen de incidentes anteriores y de intentos de fuerza bruta, sin relación con una vulnerabilidad recién descubierta.
Varias compañías afectadas aún no han emitido comentarios oficiales; Lenovo, por ejemplo, confirmó haber recibido la consulta de prensa pero no ha proporcionado detalles adicionales.
Lecciones para la comunidad empresarial
El caso FortiBleed refuerza la importancia de adoptar buenas prácticas de gestión de contraseñas: cambiar las credenciales predeterminadas, aplicar políticas de rotación periódica y emplear autenticación multifactor cuando sea posible. Asimismo, es esencial limitar la exposición de dispositivos críticos a internet y utilizar listas blancas de acceso para reducir la superficie atacable.
En un entorno donde los atacantes combinan automatización con inteligencia obtenida de filtraciones previas, la única defensa efectiva es una postura de ciberseguridad proactiva y basada en la prevención.
